Вестник цифровой трансформации

«Охота на мамонта»: Group-IB исследовала мошенническую схему с фейковыми курьерскими сервисами
«Охота на мамонта»: Group-IB исследовала мошенническую схему с фейковыми курьерскими сервисами




12:38 20.05.2020  |  4018 просмотров



Пользуясь ограничениями, связанными с самоизоляцией, мошенники похищают деньги и данные банковских карт пользователей с помощью фишинговых сайтов популярных курьерских служб. Эксперты CERT-GIB исследовали деятельность, механизм монетизации и структуру нескольких групп, зарабатывающих на «курьерской схеме». Ежедневный оборот только одной из них превышает 200 тыс. руб.

Режим карантина, введенный для профилактики заболеваний COVID-19, по разным оценкам, увеличил спрос на услуги курьерской доставки на 30-40%. Покупатели все чаще заказывают товары в интернете, стараясь не выходить из дома и при этом экономить. Этим решили воспользоваться злоумышленники, активировав мошенническую схему с поддельным сервисом курьерской доставки. Впервые появление этой схемы специалисты Центра реагирования на киберинциденты CERT-GIB зафиксировали в августе прошлого года, после обращений ряда пострадавших. Однако пик активности пришелся на весну 2020 года. В целом, за последние полгода количество регистраций фишинговых доменов, направленных на бренды курьерских служб, выросло в 7 раз.

Приманка для «мамонта»: как работает схема

На популярных сервисах бесплатных объявлений злоумышленники размещают так называемые «лоты-приманки» — объявления о продаже по намеренно заниженным ценам товаров, рассчитанных на разные целевые аудитории – это фотоаппараты, игровые приставки, ноутбуки, смартфоны, бензопилы, звуковые системы для авто, швейные машинки, коллекционные вещи, товары для рыбалки. Сервисы борются с подобными типами мошенничества, однако лже-продавцы постоянно создают способы обхода блокировок своих сообщений.

Group-IB

Покупатель, заинтересовавшись выгодным предложением, связывается с продавцом во внутреннем чате сервиса. «Продавец» предлагает продолжить обсуждение покупки и доставки товара в одном из популярных мессенджеров — якобы для удобства клиента. На самом деле, мошенник умышленно уводит покупателя на стороннюю площадку, чтобы служба безопасности сервиса не могла его отследить и помешать «сделке».

Заманив жертву в чат мессенджера, злоумышленник запрашивают у нее контактные данные (ФИО, адрес и номер телефона) якобы для оформления доставки через курьерскую службу. Затем жертве присылают ссылку на один из сайтов популярных курьерских служб. На деле сайт оказывается фишинговой страницей традиционно полностью копирующей дизайн курьерского или почтового брендов и использующий доменное имя, похожее на оригинальное. Естественно, подлинные сервисы доставки не имеют к этим сайтам никакого отношения.

Group-IB

На фейковой странице заказа, злоумышленник сам заполняет форму для отправки посылки, используя полученные от покупателя данные. Жертве предлагается проверить корректность информации и совершить оплату товара, введя данные своей банковской карты. Цель мошенника достигнута: покупатель теряет и деньги, и данные карты, при этом оставаясь без товара. Средний чек одной такой «покупки» составляет примерно 15-30 тыс. руб.

Охота с продолжением

Зачастую на этом мошенники не останавливаются. Часть жертв обманывают повторно — «разводят на возврат». Через некоторое время после оплаты товара покупателю сообщают, что на «почте» произошло ЧП. Легенда может быть любой, например, сотрудник почты якобы пойман на краже, а заказанный товар конфисковала полиция, поэтому для компенсации перечисленной суммы необходимо оформить «возврат средств». Понятно, что на деле с карты происходит повторное списание той же суммы.

Group-IB

Dreamer Money Gang: админы, воркеры и прозвонщики

В ходе исследования «курьерской схемы» командои? CERT-GIB выявлены десятки разрозненных преступных групп, специализирующиеся именно этом типе мошенничества. Роли в группе и размер вознаграждения каждого участника четко распределены. Коммуникации, обучение «новичков» и внутренняя бухгалтерия организованы с помощью телеграм-ботов.

Костяк группировки составляют «админы», они же «саппорты» или «модераторы», которые занимаются регистрацией доменов, созданием фишинговых ресурсов под фейковые «курьерские службы», а также рекрутингом и распределением похищенных денег.

Group-IB

На некоторых андеграундных форумах или в телеграм-каналах админы по объявлению нанимают сотрудников — «воркеров», которые размещают многочисленные объявления-приманки на популярных сервисах бесплатных объявлений, общаются с жертвами (их чаще всего именуют «мамонтами») в мессенджерах и отправляют их на фишинговые страницы «курьерских сервисов» для оплаты товара.

Все сделки и транзакции «воркеров» отображаются в телеграм-боте: сумма, номер платежа и ник-нейм «воркера». В одном из чат-ботов фигурируют многочисленные переводы на суммы от 7,3 тыс. до 63,9 тыс. руб. — сначала деньги падают на счета «админа», затем он распределяет доходы на остальных участников группы. Как правило, «воркеры» получают 60-80% от суммы транзакции в криптовалюте — «админы» оперативно переводят деньги им на криптокошельки.

Схему с «возвратом» отрабатывают так называемые «прозвонщики» или «возвратчики», выступающие в роли операторов службы поддержки курьерских сервисов. Связавшись с жертвой по телефону или в мессенджерах, они предлагают оформить возврат. Как и описано выше, при этом происходит повторное списание средств с карты потерпевших. Прозвонщик может получать как фиксированную сумму, так и процент от украденных денег — от 5% до 20%. Крайне редко в роли прозвонщиков выступают сами воркеры, поскольку прозвонщики — узкопрофильные специалисты, обладающие хорошо «прокачанным» навыком социальной инженерии, четким поставленным голосом и готовностью с ходу ответить на самые неожиданные вопросы сомневающихся покупателей.

Игра по-крупному

Абсолютно все преступные группы заинтересованы в масштабировании своего бизнеса и привлечении свежих сил. Например, одна из крупных преступных групп, называющая себя Dreamer Money Gang (DMG), нанимает «воркеров» через телеграм-бот и обещает обучение, «лучшие домены на рынке» и быстрые выплаты без скрытых процентов. Ежедневный оборот DMG превышает 200 тыс. руб. Примечательно, что выручка другой преступной группы в последние месяцы стремительно росла: от 784 тыс. руб. в январе до 8,9 млн руб. в апреле.

Как отмечают эксперты, востребованность во время пандемии услуг доставки привела к взрывному росту популярности «курьерской схемы» — сейчас наблюдается около 100 объявлений на хакерских форумах, где группы рекламируют свои услуги и ведут активный рекрутинг исполнителей. Надо еще раз обратить внимание пользователей служб доставки и сервисов бесплатных объявлений о необходимости проявлять бдительность: мошенников в сети сейчас больше, чем когда-либо. Подобные мошеннические ресурсы активно блокируются, однако они могут появляться вновь, учитывая востребованность курьерских услуг.

Теги: Фишинг Социальная инженерия

На ту же тему: